Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Google’ın mantiant, ızgara stabilitesini bozan uzaktan saldırıları uyarıyor
Prajeet Nair (@prajeaetspeaks) •
2 Temmuz 2025
Ağa bağlı cihazlardaki güvenlik açıkları, anında seyahat güç şebekesi trafo merkezi devre kesiciler için programlanan güvenlik açıkları, bilgisayar korsanlarının bir sonraki karartmaya neden olmak için kullandıkları araçlar olabilir, araştırmacıları uyarır.
Ayrıca bakınız: Ondemand Panel | HCLTech ve Microsoft ile OT güvenliğini güçlendirmek
Koruma röleleri – sürekli olarak voltajı, akımı, frekansı ve faz açısını izleyen cihazlar – yüksek voltaj hatlarının daha düşük voltajlı konut hatlarını karşıladığı bölgedeki “hem koruma hem de kontrolün beyinleridir”, Google’ın Pazartesi blog yazısında Google’a ait maniant. Koruma röleleri toprak hatası gibi bir problemi tespit ederse, 20 milisaniye içinde gezi devre kesicilerine tepki verirler. Mantiant tarafından yapılan simüle edilmiş saldırılar, yerel trafo merkezleri ağlarına sürekli olarak güvensiz uzak yolları ortaya çıkarır.
Trafo merkezleri, kilitli bir çitin arkasında mırıldanarak, tamamen analog bir dünyanın son kalesi olarak görünebilir. Aslında gerçek zamanlı ve uzaktan gerçek zamanlı verileri değiştiren ve koruma röleleri, bilgisayar korsanları için ana hedeflerdir.
Maniant, telnet gibi eski protokollerin – şifrelenmemiş – değişmemiş fabrika şifrelerinin ve güvenlik duvarlarının eksikliğinin “dünya çapında trafo merkezleri, kamu hizmetleri ve endüstriyel alanlar arasında sistemik desenler” anlamına geldiği gibi güvenlik açıkları.
Elektrik şebekesine saldıran bilgisayar korsanları tehdidi, son on yılda en az üç kez Ukrayna’da kesintiye neden olan Rus ulus devlet hackerlarının gösterdiği bir gerçekliğe dönüştü (bakınız: Rus Sandworm Hackers, Ekim 2022’de elektrik kesintisine neden oldu).
Kaliforniya ve Kuzey Carolina’daki trafo merkezi saldırılarının – şimdiye kadar trafo merkezi saldırılarının, kendileri öncesi bir konumdan önce kritik altyapı sistemlerine gömüldüğünü keşfetmesinden sonra bir destek aldıktan sonra, Amerika Birleşik Devletleri’nde böyle bir saldırının meydana gelebileceği korkusu. Pazartesi günü ABD’li yetkililer, İran’a bağlı bilgisayar korsanlarının hedefleme olasılığı göz önüne alındığında, kritik altyapı operatörlerini “uyanık kalmaları” konusunda uyardı (bkz:: Kontrol sistemlerini açık bırakan altyapı operatörleri).
Mantiant, “Koruma röleleri, yüksek değerli cihazlar ve trafo merkezi otomasyon sistemlerini ve ızgara yönetim sistemlerini hedefleyen siber-fiziksel saldırılar için ana hedeflerdir.” Araştırması, herhangi bir üretici tarafından yapılan koruma röleleri için geçerlidir – büyük olanlar arasında Siemens, ABB, GE, Schneider Electric ve Schweitzer Mühendislik Laboratuvarları bulunmaktadır.
Koruma röleleri, dijital ve analog sistemler arasındaki olay verilerini ve ara iletişimi ek olarak kaydeden cihazlara dönüştüğü için, uzaktan erişim ve gerçek zamanlı görünürlük için de ağa bağlanırlar. Bu, hackerların elektrikli işçileri, maruz kalan uzaktan ağ geçitlerini ve varsayılan kimlik bilgilerini tanımlamak için açık kaynak zekasından başlayarak dışarıdan ilerlemeleri için bir açılış sağlar.
Bilgisayar korsanları protokol ağ geçitlerini ve mühendislik HMI’lerini tanımladıktan sonra, Telnet, HTTP, FTP veya üretim mesajı belirtimi gibi her cihazda hangi hizmetlerin ortaya çıktığını analiz edebilir ve ürün yazılımı sürümlerini, röle modellerini veya seri numaralarını ortaya çıkaran banner bilgileri veya bağlantı noktası yanıtlarını toplayabilirler. Bilgisayar korsanları, zayıf kimlik doğrulama veya eski yapılandırmalarla cihazlara öncelik verir.
Bir saldırgan, genellikle cihaz kılavuzlarından elde edilebilen fabrika seti veya varsayılan kimlik bilgilerini kullanarak oturum açmaya çalışabilir. Bu kimlik bilgileri, gevşek devreye alma süreçleri nedeniyle genellikle birçok trafo merkezinde hala aktiftir. Giriş başarılı olursa, saldırgan pasif numaralandırmadan aktif kontrole kadar yükselir ve koruma ayarlarını görüntüleme veya değiştirme yeteneği, seyahat mantığı ve röle olay günlüklerini kazanır.
Röleler uygun kimlik bilgileri veya erişim kontrolleri ile sertleştirilirse, saldırganlar başka yöntemleri deneyebilir. Bazı rakipler, röle yapılandırma projelerini açmak için tehlikeye atılmış mühendislik iş istasyonlarında Digsi, Acselerator ve PCM600 gibi satıcı yazılımı kullanmışlardır.
Başka bir risk, belgesiz veya gizli cihaz işlevselliğinin varlığıdır. Bir ABD federal hükümet danışmanlığında vurgulandığı gibi, bazı koruma röleleri ayrıcalıklı kullanıcılar tarafından erişilebilen belgesiz yetenekler içerir. Ayrı olarak, bazı röleler sert kodlu veya satıcı teşhis hesapları aracılığıyla arka kapılı telnet erişimini ortaya çıkarabilir.
İçeri girdikten sonra, saldırganlar koruma ayarlarını değiştirebilir, parolaları sıfırlayabilir, alarmları devre dışı bırakabilir veya doğrudan kesici komutları verebilir ve rölenin tam kontrolünü etkili bir şekilde varsayar.
Trafo merkezlerini en son teknolojiye yükseltmek, eski bir sunucuyu değiştirmek kadar kolay değildir. Trafo merkezinin yaşam döngüsü onlarca yıldır ölçülür ve şifrelenmiş protokoller ve ürün yazılımı doğrulaması gibi modern güvenlik özelliklerinin getirilmesi, “deterministik, düşük gecikmeli iletişim-BT sınıfı esnekliği değil” için inşa edilmiş bir ortama daha fazla bilgisayar ve bant genişliği eklemek anlamına gelir.
Yine de, ızgara operatörlerinin atabileceği adımlar var. Telnet’ten güvenli bir kabuğa geçemezlerse, sanal ağlar, güvenlik duvarları ve rol tabanlı kontrol aracılığıyla “erişimi sıkıca kısıtlayın”. Ağı titizlikle segment. Varsayılan şifreleri değiştirin ve siteye özgü, role dayalı kimlik bilgilerini zorunlu hale getirin.
Maniant, birçok üretici, role tabanlı erişim kontrolü, denetim ve şebeke operatörlerinin tipik olarak devre dışı bıraktığı veya görmezden geldiği parola yeniden kilitlemeleri gibi güvenlik özelliklerini içeriyor. Operatör ayrıca, modern koruma rölelerini değiştirilmiş koruma mantığı veya bastırılmış alarmlar gibi değişiklikler için uyaracak şekilde yapılandırmalıdır. Yine de, en iyi güvenlik uyarlanmıyor. “Güvenlik, daha sonra cıvatalanmamış olarak tasarıma göre yerleşik olduğunda etkilidir” dedi.